Protection des données : amende de 100 000 € pour Darty

Date de publication : 15/01/2018  |  M.P.

La Cnil a infligé le 9 janvier 2018 une sanction à Darty pour ne pas avoir suffisamment sécurisé les données de ses clients.

La Cnil déclare avoir prononcé une sanction de 100 000 € à Darty le 9 janvier 2018 « pour ne pas avoir suffisamment sécurisé les données de clients ayant effectué une demande en ligne de service après-vente », annonce le communiqué de la Commission nationale de l'informatique et des libertés.

Après avoir été informé en février 2017 d’un incident de sécurité, l’organisme de contrôle a constaté, en mars 2017, un défaut de sécurité qui permettait d’accéder aux données clients (noms, prénoms, adresses postales et électroniques, numéros de téléphone). C’est un formulaire de demande de service après-vente, développé par un prestataire, qui était à l’origine de cette défaillance.

Après avoir informé Darty de cet incident, la Cnil a de nouveau constaté, lors d’un second contrôle, que près d’un million de fiches clients étaient toujours accessibles. De nouvelles fiches avaient même été créées entre les deux contrôles.

La Cnil a considéré que le simple fait de faire appel à un sous-traitant ne décharge pas l’entreprise de son obligation de préserver la sécurité des données. Elle affirme cependant avoir tenu compte de l’initiative de Darty « de diligenter un audit de sécurité après cette atteinte à la sécurité des données ainsi que de sa bonne coopération avec [ses] services ».

Le Règlement général sur la protection des données (RGPD), relatif à a protection des personnes physiques à l’égard du traitement des données, entrera en vigueur le 25 mai 2018. Il oblige toutes les entreprises et les collectivités à être responsables légalement du traitement des données de leurs clients et à renforcer le droit des personnes.

>>> Face au Risque consacrera son dossier de février au RGPD